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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(54) Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik 
@ Die vorliegende Erfindung beschreibt ein Verfahren 
zum Online-Update sicherheitskritischer Software in der 
Eisenbahn-Signaltechnik und dient insbesondere dem 
Einbringen von Produktsoftware in Zielrechner von Anla- 
gen. Das erfindungsgemafte Verfahren basiert darauf, 
da& jeder Teilnehmer einen offentlichen und einen gehei- 
men Schlussel enthalt, von den Teilnehmern eine Zertifl- 
zierungsinstanz zur Beglaubigung der Zugehorigkeit der 
Schlussel zu den Teilnehmern mit einem Zertifikat be- 
stimmt wird, jeder Teilnehmer sein eigenes Schlusselzer- 
tifikat und das Zertifikat der Zertifizierungsinstanz erhalt, 
jeder an der Erstellung und Prufung der Produktsoftware 
beteiligte Teilnehmer die Produktsoftware und die bishe- 
rigen Unterschriften mit seinem geheimen Schlussel un- 
terschreibt und gemeinsam mit seinem eigenen Schlus- 
selzertifikat weiterleitet, die Zertifizierungsinstanz fur je- 
den Anwendungsfall eine Pruferltste erzeugt und signiert 
und die Produktsoftware zusammen mit einer verketteten 
Unterschriftenliste und der Liste der Schlusselzertifikate 
der Teilnehmer sowie der Pruferliste in den Zielrechner 
eingebracht und endgepruft wird. 
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t • Beschreibung ^ 

Die vorliegende Erfindung betrifft ein Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn- 
Signaltechnik und dient insbesondere dem Einbringen von Produktsoftware in Zielrechner von Anlagen. 
5 Neue Echtzeit-Betriebssysteme bieten weitreichende Debugging- oder Software-Upgrade-Optionen, wahrend das ei- 
gentliche System lauft (sog. running target), um eine hohe Verfiigbarkeit zu garantieren (sog. non-stop real-time sy- 
stems). Im Prinzip sind diese Wartungsarbeiten auch online, z. B. uber das Internet oder ahnliche offene Netzwerke mog- 
lich, ohne daB ein Techniker vor Ort ist. Dies ist vor allem in hochgradig verteilten Systemen ein enonner Vorteil. 
Diese Vorteile moderner Echtzeit-Betriebssysteme und Computer-Netze sind bislang fur sicherheitskritische Anwen- 
10 dungenin der Eisenbahn-Signaltechnik nicht nutzbar, da nicht garantiert werden kann, daB die eingebrachte Produkt- 
Softwar e authentisch ist, d. h. von dem behauQteten^bsenderstajn mt und nicht manipuliert wurde und die Produkt-Soft- 
ware nach den geltenden Vorschriften gepriift is t. 

Unter dem Oberbegriff Produktsoftware wird hier sowohl Systemsoftware als auch Anwendersoftware oder Anlagen- 
Projektierungsdaten verstanden. 
15 Bekannt ist, die Produkt-S oft ware nach Vorliegen (manueli unterschriebener) Prufberichte uber vorab in der Fertigung 
programmierte Speicherbaugruppen von Hand in das sicherheitskritische System einzubringen. Dieser ProzeB soil mit- 
tels der beschriebenen Erfindung digitalisiert werden, d. h. die Produkt-Software wird von den Pruf ern, digital signiert 
\t undub^^^ die Signaturen automa- 

|[ tisch auf Echtheit und Zulassigkeit. 

20 Weiterhin smS^us ^der"EF'0**81 970 A2 ein Verfahren und eine Vorrichtung bekannt, mit welchen die Authentizitat 
von Firmware gepriift werden kann. Es wird gepriift, ob spezifische Signaturen zu Mikrokodierungen passen. Nachteilig 
bei dieser Losung ist, daB der orTentliche Schlussel in der Anlage fest installiert ist und keine Uberpriifung der Priirbe- 
rechtigungen erfolgt. 

Um die Authentizitat bei Ubertragung von Daten uber offene Netze zu gewahrleisten, ist seit langerem die Verwen- 
25 dung von kryptographischen Methoden bekannt. Hierbei ist sowohl eine syrnmetrische als auch eine asymmetrische Ver- 
schliisselung moglich. 

Bei der j^ymmetrischen Verschlusselung existiert im Gegensatz zur symmetrischen Verschlusselung nicht nur ein ein- 
zelner Schlussel, der alien Partnem bekannt ist, sondern ein Schlusselpaar. Dieses Schlusselpaar besteht aus einem soge- 
nannten offentlichen und einem privaten Schlussel, wobei der offentliche Schlussel fur jedermann zuganglich sein muB. 
30 Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Online-Update sicherheitskritischer Software in der Ei- 
senbahn-Signaltechnik zu schafferi. welches mit einfachen Mitteln ein effektives Zusammenwirken mehrerer Teilnehmer 
bei der Erarbeitung und Priifung von Produktsoftware sowie ein sicheres Einbringen dieser Produktsoftware in die Ziel- 
rechner auch uber ungesicherte Komrnunikationskanale ermoglicht. 

Diese Aufgabe wird erfindungsgemaB gelost durch die Merkmale im kennzeichnenden Teil des Anspruches 1 im Zu- 
35 sammenwirken mit den Merkmalen im Oberbegriff. ZweckmaBige Ausgestaltungen der Erfindung sind in den Unteran- 
spriichen enthalten. 

Ein besonderer Vorteil der Erfindung besteht darin, daB eine sichere Erarbeitung, Ubertragung und Einspeisung der 
Produktsoftware in einen Zielrechner unter Mitwirkung m ehrerer ^i^ehnier ermoglicht wird, indem jeder Teilnehmer 
einen offentlichen und einen geheimen Schlussel erhalt, von den Teilnehmern eine Zertifizierungsinstanz zur Beglaubi- 

40 gung der Zugehorigkeit.der Schlussel zu den Teilnehmern mit einem Zertifikat bestimmt wird, jeder Teilnehmer sein ei- 
genes Schliisselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, jeder an der Erstellung urid Priifung der Pro- 
duktsoftware J^ejligteTe^^ die Produktsoftware und die bisher geleisteten Unterschriften mit seinem geheimem 
Schlussel unterschreibt und gemeinsam mit seinem eigenen Schliisselzertifikat weiterleitet, die Zertifizierungsinstanz fur ' 
jeden Anwendungsfall eine Priiferliste erzeugt und signiert und die Produktsoftware zusammen mit einer verketteten Un- 

45 terschriftenliste und der Liste der Schliisselzertifikate der Teilnehmer sowie der Pruferliste in den Zielrechner einge- 
bracht und endgepriift wird. 

Ein weiterer Vorteil der Erfindung besteht darin ; daB die Produktsoftware auch uber ungesicherte Kommunikationska- ^ 
nale iibertragen werden kann. ^ 

GemaB der vorliegenden Erfindung werden asymmetrische Verschliisselungsverfahren verwendet. Jeder Teilnehmer x 
50 verfiigt iiber zwei Schlussel, namlich einen offentlichen Schlussel P x und einen geheimen Schlussel Sx- Der geheime W 
Schlussel ist durch geeignete organisatorische MaBnahrnen (zum Beispiel Passwort, Speiqherung auf Chipkarte etc.) vor w 
MiBbrauch gesichert. yj 

Offentliche Schlussel sind in der Regel jedem Teilnehmer zuganglich, auf einen geheimen Schlussel darf nur ein Teil- _ f 

nehmer Zugriff haben. Mit seinem geheimen Schlussel kann der Teilnehmer Datensatze digital unterschreiben (Opera- QQ 
55 tion Sigx) oder mit seinem offentlichen Schlussel verschliisselte Datensatze entschliisseln (Operation Decx). Jeder Teil- 

nehmer, der im Besitz des zugehorigen offentlichen Schliissels ist kann von x signierte, fur ihn bestimmte Datensatze ve- «J 

rifizieren (Operation Verx) oder x verschliisselte Nachrichten senden (Operation Enc x ). Das genaue asymmetrische Ver- 

fahren ist dabei egal, im Prinzip kann jedes aus dem Stand der Technik bekannte Verfahren verwendet werden, ^> 

Die Erfindung soil nachstehend anhand von zumindest teilweise in den Figuren dargestellten Ausfuhrungsbeispielen ^ 
60 naher erlautert werden. i 

Es zeigen: 

Fig. 1 eine schematische Darstellung des Zusammenwirkens von Teilnehmern mit einer Zulassungsbehorde; |jj 
Fig. 2 einen Programmablaufplan fur die Priifung der Produktsoftware 

Wie in Fig. 1 dargestellt, wird unter den Teilnehmern ein besonders vertrauenswiirdiger Teilnehmer Z, die sogenannte 
65 Zertifizierungsinstanz, bestimmt. Als Zertifizierungsinstanz wird im vorliegenden Ausfuhrungsbei spiel eine Zulassungs- 
behorde eingesetzt, in Deutschland fur die Eisenbahn-Signaltechnik z.B. das Eisenbahnbundesamt. oder eine andere 
vertrauenswiirdige Instanz. Dieser Teilnehmer zertifiziert, d. h. beglaubigt, daB die Schlussel der einzelnen Teilnehmer 
wirklich zu den behaupteten Teilnehmern gehoren. Dazu unterschreibt Z digital fiir jeden Teilnehmer x dessen offentli- 
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chen Schlussel P x sowie ein Textfeld T x , das Angaben zur Identitat des Teilnehmers, zur Giiltigkeitsdauer des Zertifikats 
etc. enthalt. Das Zertifikat besteht also fiir jeden Teilnehmer aus P x , T x sowie Sig z (Px, T x ). Die Zertifizierungsinstanz 
ubergibt zusatzlich jedem Teilnehmer ihr eigenes Zertifikat, das aus P z , T 2 sowie Sig z (P z , Tz) besteht. 

Im weiteren wird nun ein konkreter Anwendungsfall betrachtet. Die Zulassungsbehorde Z erzeugt fur jeden Anwen- 
dungsfall eine Pruferliste L, in der vermerkt ist, welche Prufer welche Produktsoftware und in welcher Prufer-Zusam- 5 
mensetzung prufen diirfen. Diese Liste wird ebenfalls von der Zulassungsbehorde signiert und zusammen mit dem Zer- 
tifikat Sig z (L) auf gesichertem Weg in den Zielrechner der Anlage eingebracht, also entweder zusammen mit der Pro- 
duktsoftware oder als Projektierungsdatum. Zusatzlich sollte die Pruferliste auch an die beteiligten Prufer verteilt wer- 
den. Alternativ kann sie auch zusammen mit der Produkt-Software ubertragen werden. 

Jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer unterschreibt die Produktsoftware S 10 
und die bisher geleisteten Unterschriften seiner Vorganger in der Priifhierarchie, d. h. der Ersteller E unterschreibt die 
Produktsoftware S mit SigE(S), und sendet sie mit der Unterschrift und seinem Schlusselzertifikat P E , Te sowie Sig z (P£, 
Te) an den Prufer P, der die Echtheit der Unterschrift priift und nach positivem Prufergebnis die Produktsoftware S und 
die letzte Unterschrift Sige(S) mit Sigp (S, SigE(S)) unterschreibt und mit seinem Schlusselzertifikat Pp, T P sowie Sig z 
(Pp, Tp) sowie dem Schlusselzertifikat von E weiterleitet. Die Echtheit der Unterschriften wird durch jeden Prufer nach 15 
dem in Fig. 2 angegebenen Schema gepruft. 

Dieses Prinzip kann sich noch einige Male wiederholen wie in Fig. 2 dargestellt, je nachdem wieviele Teilnehmer, 
d. h. Gutachter, Tester etc. beteiligt sind. Am Ende liegt die Produktsoftware S zusammen mit einer verketteten Unter- 
schriftenliste und der Liste der Schlusselzertifikate der Teilnehmer vor. Dies wird zusammen mit der Pruferliste in den 
Zielrechner ubertragen. 20 

Beispiel 



Prufplan L = (A, B, C, D, ... K) 



Produkt-SW S 



Sig A (S) 



Sig B (S, Sig A (S)) 



Sig K (S, Sigj(S, Sig»(S,...))) 



In jedem sicheren Rechner der Anlage (Zielrechner) muB neben einer Implementation der kryptographischen Funktio- 
nen der offentliche Schlussel der Zulassungsbehorde verfugbar sein.^eH^g^j^ine^sjiejien Softwarestandes pruft der 
sichereJRechner die dig,italen Umerschrif ten der Prufer, dje^z^dies^m Softwares tand gehoren, sowie^b^erfolgreTdieF 
j^ju^^ " " ^ — — — 

Falls die Produktsoftware uber ungesicherte Kommunikationskanale ubertragen werden soli oder verhindert werden 
soil, daB unbefugte Dritte Kenntnis der Produktsoftware erlangen, so muB die Produktsoftware zusatzlich verschlusselt 
werden, und zwarjeweils mil dem offentlichen Schlussel des Kommunikationspartners. ^ 
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Beispiel 

Sendet E an P, so wird statt der Produktsoftware S die verschliisselte Fassung Encp(S) gesendet. P entschlusselt diese 
mit seinem privaten Schlussel und verschlusselt sie mit dem offentlichen Schlussel des nachsten Kommunikationspart- 40 
ners. In diesem Fall ist es auch notwendig, jedem Zielrechner ein Schliisselpaar zuzuweisen, da im letzten Schritt mit 
dem offentlichen Schlussel des Zielrechners zu verschlusseln ist. 

Weiterhin sind organisatorische MaBnahmen notwendig, um sicherzustellen, daB die geheimen Schlussel der Prufer 
bzw. Zertifizierungsinstanz nicht unberechtigt eingesetzt werden konnen (entweder mit PaBwort verschliisselte Speiche- 
rung auf PC oder Chipkarte) und daB Software nicht auf anderem Wege, d. h. unter Umgehung der skizzierten Sicher- 45 
heitsmaBnabmen auf den Zielrechner gebracht werden kann (Firewall-Funktionalitat). 

Patentanspriiche 



1 . Verfahren zum Online-Update sicherheitskritischer Software in der Eisenbahn-Signaltechnik unter Mitwirkung 50 
mehrerer Teilnehmer und unter Nutzung kryptographischer Methoden und in digitalisierter Form vorliegender ver- 
schlusselterDatensatze, wobei 

- jeder Teilnehmer einen offentlichen und einen geheimen Schlussel erhalt, 

- von den Teilnehmem eine Zertifizierungsinstanz zur Beglaubigung der Zugehorigkek der Schlussel zu den 
Teilnehmern mit einem Zertifikat bestimmt wird, 55 

- jeder Teilnehmer sein eigenes Schlusselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, 

- jeder an der Erstellung und Prufung der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die 
bisherigen Unterschriften mit seinem geheimen Schlussel unterschreibt und gemeinsam mit seinem eigenen 
Schlusselzertifikat weiterleitet, 

- die Zertifizierungsinstanz fiir jeden Anwendungsfall eine Pruferliste erzeugt und signiert und 60 

- die Produktsoftware zusammen mit einer verketteten Unterschriftenliste und der Liste der Schlusselzertifi- 
kate der Teilnehmer sowie der Pruferliste in den Zielrechner eingebracht und endgepruft wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB die geheimen Schlussel der Teilnehmer zum digitalen 
Unterschreiben von Datensatzen und bei Ubertragung der Produktsoftware uber ungesicherte Kommunikationska- 
nale zum Entschliisseln verwendet. werden. 65 

3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB die offentlichen Schlussel der Teilnehmer zum Ent- 
schliisseln verschliisselter Datensatze oder zum Verifizieren signierterDatensatze und bei Ubertragung der Produkt- 
software uber ungesicherte Kommunikationskanale zum Verschlusseln mil dem offentlichen Schlussel des nachsten 
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Kornmunikationspartners verwendet werden. 

4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB die Zertifizierungsinstanz zur Erstellurig der Zertifi- 
kate fur jeden Teilnehmer dessen offentlichen Schliissel sowie ein Textfeld mil Angaben zur Identitat und Gultig- 
keitsdauer des Zertifikates unterschreibt. 

5. Verfahren nach Anspruch 1. dadurch gekennzeichnet, daB in der, Pruferliste vermerkt ist, welcher Teilnehrner 
welche J^pduktsoftware und in^welcher Zusarnmensetzung.rnit anderen Teilnehrnern priifen darf\ 

6. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, daB im Zielrecfrher neSen diner Implementation der kryp- 
tographischeri Funktionen der ofTendiche Schliissel der Zertifizierungsinstanz verfugbar ist. 

7. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, daB der Zielrechner bei der Endpriifung die digitalen Un : 
terschr^ 

8. Verfahren nach einerrfder Anspriiche 1 bis 3, dadurch gekennzeichnet, d?BTCft)¥crtragung der Produktsoft ware 
uber ungesicherte Kommunikationswege jedem Zielrechner ein Schlusselpaar zugewiesen wird. 
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